Проблема с форвардингом iptables

[kerevra]

Люди опытные! Подскажите, пожалуйста!
 
Есть сервачок на ubuntu server 9.10 (samba + маршрутизатор + прозрачный кальмар). Все бы ничего, так вот только возникла проблема с iptables: как только ставлю для цепочки FORWARD по умолчанию DROP, отваливается инет на рабочих станциях. Подскажите в чем может быть проблема....
 
Вот собственно сам скрипт(пускается при загрузке):

Код: [Выделить]

#!/bin/sh
 
iptables -F
 
iptables -A INPUT -i lo -j ACCEPT
 
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 91.197.193.127 --dport 80 -j DNAT --to-destination 192.168.0.2:81 # портмаппинг на web-сервер внутри сети
iptables -A FORWARD -i ppp0 -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A PREROUTING -p tcp --dport 80 ! -d 192.168.0.0/24 -j REDIRECT --to-port 3128
IPS=`cat /etc/squid/sarg.usertab | grep -Po "(\d{1,3}\.){3}\d{1,3}"` # берем из /etc/squid/sarg.usertab список ip, кому давать инет
for b in $IPS;
do
    iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $b -j ACCEPT # даем инет каждому ip из списка
done
 
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -p tcp -m multiport --dports 25,110,443,53,993,5190,80,5222 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 91.197.193.127
 
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT # на серваке есть hand-made приблуда и sarg, которые можно посмотреть только с одной машины в сети
iptables -A INPUT -p tcp -m multiport --dports 22,10000 -j ACCEPT
 
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 139,445,53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m multiport --dports 137,138,123,53 -j ACCEPT
 
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
 
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP # собственно ВОТ ЭТОТ момент и интересен. при таком раскладе ниодно правило цепочки FORWARD не работает
P.S.:
ppp0 - VPN смотрящий в инет;
eth0 - внутренний интерфейс;
eth1 - внешний интерфейс.
 
Заранее благодарен за советы!

[Mam(O)n]

Что то не фига калмар то не похож на прозрачного. Лучше покажи sudo iptables-save, чтоб было явно видно, что загрузилось, а чего нет.

Пока из того видно, что должно отвалиться только "# портмаппинг на web-сервер внутри сети "

[kerevra]

проблема в том, что сейчас этот скрипт немного по-другому выглядит... я разрешил весь форвардинг, чтобы народ в инет смотреть мог... а чем кальмар на прозрачного не похож то?
iptables -t nat -A PREROUTING -p tcp --dport 80 ! -d 192.168.0.0/24 -j REDIRECT --to-port 3128 - это по твоему что? кальмар 2.7STABLE6, в конфиге есть "http_port 3128 transparent", или я что-то не понимаю?

[Mam(O)n]

А, сорри, проглядел в той каше. Теперь увидел.

[misterx]

может источник соединений попробовать указать (-s 192.168.1.0/24 )

[kerevra]

может источник соединений попробовать указать (-s 192.168.1.0/24 )

пробовал, не помогает

[Mam(O)n]

Ну так что там с sudo iptables-save?

[misterx]

присоединяюсь к Мамону. Да, и форвардинг вообще включен;))?

[kerevra]

Да, и форвардинг вообще включен;))?

а как же тогда по твоему при iptables -P FORWARD ACCEPT все работает?

[misterx]

Ну это так. На всякий.
Я в таких случаях оставляю всё по минимуму и начинаю по одному добавлять - ищем где затык.